Comment configurer la SVM avec AWS Managed Microsoft AD pour les partages CIFS sur FSx pour ONTAP ?

Brève description

Pour accéder aux données à l'aide du protocole SMB (Server Message Block), joignez le domaine à la SVM. Vous pouvez rejoindre un domaine lors de la création d'une SVM depuis la console Amazon FSx. Pour plus d'informations, consultez Création d'une machine virtuelle de stockage.

Résolution

Liaison d'un domaine SVM à l'aide de l'interface de ligne de commande NetApp ONTAP

1.    Ouvrez la console Amazon FSx.

2.    Sélectionnez l'onglet Administration sous votre système de fichiers FSx pour ONTAP. Notez l'adresse IP du point de terminaison de gestion. Vous utiliserez l'adresse IP pour vous connecter au cluster.

3.    Connectez-vous via le protocole SSH au point de terminaison de gestion du cluster FSx pour ONTAP. Pour ce faire, utilisez Windows PowerShell ou un shell Linux sur votre instance Amazon Elastic Compute Cloud (Amazon EC2). Dans l'exemple de commande suivant, remplacez l'adresse IP de gestion par l'adresse IP de votre point de terminaison de gestion.

ssh fsxadmin@ management IP

Pour plus d'informations, consultez la section Utilisation de l'interface de ligne de commande NetApp ONTAP.

4.    Entrez le mot de passe du compte de service fsxadmin pour vous connecter au point de terminaison de gestion FSx pour ONTAP.

Remarque : le mot de passe du compte de service fsxadmin est défini dans l'onglet Administration de la console Amazon FSx.

5.    Après la connexion au point de terminaison, exécutez les commandes suivantes pour terminer l'opération de liaison de domaine. Dans l'exemple de commandes suivant, remplacez svm name (nom de la svm), domain name (nom du domaine), domain DNS IP (IP du DNS du domaine) et name of the computer object to be created for svm (nom de l'objet informatique à créer pour la svm) avec les bonnes valeurs pour votre cas d'utilisation.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    Pour vérifier si la liaison de domaine est réussie, vérifiez que les objets informatiques sont créés dans l'unité organisationnelle d'AWS Managed Microsoft AD. Exécutez également les commandes suivantes pour consulter l'état des SVM liées à votre domaine et les paramètres DNS :

vserver cifs show
vserver services name-service dns show

7.    Exécutez la commande suivante pour dissocier la SVM du domaine. Dans l'exemple de commande suivant, remplacez svm name (nom de la svm) avec le nom correct de votre SVM.

vserver cifs delete -vserver svm name

Gérez les partages CIFS à l'aide de l'interface de ligne de commande NetApp ONTAP

Remarque : les commandes suivantes proviennent du site Web de NetApp.

Créez des partages et ajoutez des autorisations aux partages à l'aide de l'interface de ligne de commande NetApp ONTAP. Pour créer des partages, utilisez la commande vserver cifs share create. Lorsque vous créez des partages, définissez le path (chemin) et le share name (nom du partage). Définissez également différentes propriétés de partage, notamment oplocks, attributecache et continuously-available.

Pour consulter les détails du partage, exécutez la commande vserver cifs share show. Dans la commande suivante, remplacez svm name (nom de la svm) avec le nom correct de votre SVM.

vserver cifs share show -vserver svm name

Ajoutez des autorisations aux partages à l'aide de la commande vserver cifs share access-control create, comme indiqué dans l'exemple suivant. Dans la commande suivante, remplacez myonpremdomain par le nom correct de votre domaine.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

La commande précédente ajoute myonpremdomain\administrator au partage C$ avec Full Control.

Lorsque que vous créez une SVM avec AWS Managed Microsoft AD, spécifiez le groupe Delegated file system administrators (groupe d'administrateurs du système de fichiers délégué). Si ce groupe n'est pas spécifié, le groupe domain admin (groupe d'administrateur de domaine) est le groupe par défaut. Comme AWS Managed Microsoft AD n'a pas accès au compte d'administrateur de domaine, il se peut que vous ne puissiez pas vous connecter au système de fichiers. Dans ce cas, exécutez la commande cifs share access-control pour ajouter l'utilisateur ou le groupe requis au C$.

Après avoir ajouté des autorisations, passez en revue le contrôle d'accès en exécutant la commande vserver cifs share access-control show :

vserver cifs share access-control show -vserver new-svm

Vous pouvez éventuellement ajouter des utilisateurs ou des groupes Active Directory à des groupes spécifiques de la SVM en exécutant la commande vserver cifs users-and-groups local-group add-members :

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

Après avoir ajouté des membres aux groupes locaux dans la SVM, vérifiez l'appartenance au groupe à l'aide de la commande vserver cifs users-and-groups local-group show-members :

vserver cifs users-and-groups local-group show-members

Dépannage

Vous pouvez rencontrer les erreurs suivantes lors de la création d'un serveur virtuel CIFS avec AWS Managed Microsoft AD :

ERREUR : erreur lors de la création – Impossible de créer le compte de machine Active Directory. Raison : SecD Erreur : aucun serveur disponible

L'erreur précédente peut se produire si le port 53 de DNS (TCP ou UDP) est bloqué. Vérifiez que FSx pour ONTAP pour la SVM en question peut communiquer avec le ou les serveurs DNS sur le port 53 (UPD/TCP). Pour valider et mettre à jour les serveurs DNS vserver, utilisez la commande vserver services name-service. Pour plus d'informations, consultez vserver services name-service dns create dans la documentation NetApp.

ERREUR : impossible de créer le serveur CIFS XXXXXXXXXX. Raison : Kerberos Erreur : KDC inaccessible

L'erreur précédente peut se produire si le port Kerberos 88 (TCP) ou le port 464 est bloqué. Vérifiez que les ports sont ouverts entre la SVM et le réseau AWS Managed Microsoft AD.

ERREUR : erreur lors de la création – Impossible de créer le compte de machine Active Directory. Raison : LDAP Erreur : impossible de contacter le serveur LDAP

Pour résoudre l'erreur précédente, procédez comme suit :

1.    Vérifiez que le LIF sélectionné pour la sortie est accessible au serveur LDAP.

2.    Assurez-vous que le port LDAP 389 (TCP ou UDP) n'est pas bloqué.

3.    Assurez-vous que le port 636 est activé si vous utilisez LDAPS.

ERREUR : impossible de créer le compte de machine Active Directory. Raison : LDAP Erreur : une erreur locale s'est produite

Pour résoudre l'erreur précédente, procédez comme suit :

1.    Utilisez la commande suivante pour activer les LDAP sur la SVM :

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    Suivez les instructions de la documentation NetApp pour installer l'autorité de certification racine auto-signée sur la SVM.

ERREUR : impossible de créer le compte de machine Active Directory. Raison : erreur de réception du socket

Pour résoudre l'erreur précédente, activez SMB2 comme paramètre par défaut. SMB2 est désactivé pour la communication avec le contrôleur de domaine (DC) dans les versions 8.3.2P5 et supérieures du FSx pour ONTAP.

1.    Exécutez la commande suivante afin de vérifier les paramètres SMB :

vserver cifs security show -vserver SVM

2.    Exécutez la commande suivante pour activer SMB2 :

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

Pour plus d'informations, consultez vserver cifs security modify dans la documentation NetApp.

ERREUR : impossible de créer le compte de machine Active Directory. Raison : LDAP Erreur : une violation de contrainte s'est produite.

Lors de la création du CIFS, un nom principal de service (SPN) est créé pour le serveur CIFS. Le SPN est associé au compte que vous spécifiez dans la commande de création CIFS. Pour résoudre l'erreur précédente, procédez comme suit :

1.    Utilisez la commande SetSPN pour vérifier les SPN.

2.    Interrogez AWS Managed Microsoft AD pour rechercher un éventuel SPN existant à partir de l'invite CMD. Dans l'exemple de commande suivant, remplacez account (compte) par votre compte.

setspn -q */account

Pour supprimer le SPN existant, exécutez la commande suivante à partir d'un contrôleur de domaine. Dans la commande suivante, remplacez le SPN par le SPN de la sortie de commande précédente et le account (compte) par votre compte.

setspn -D SPN account

Pour plus d'informations, consultez Noms principaux des services dans la documentation Microsoft.

ERREUR : impossible de créer le serveur CIFS. Raison : impossible de créer le compte de machine Active Directory. Raison : LDAP Erreur : une authentification renforcée est requise.

L'erreur précédente se produit lorsque la politique de domaine exige le scellage et la signature LDAP. Cette fonctionnalité a été ajoutée à FSx pour ONTAP 9. Pour résoudre ce problème, suivez l'une des étapes ci-dessous :

• Suivez les instructions de la documentation NetApp pour activer la signature et le scellage LDAP.
• Passez à ONTAP 9.5 ou version ultérieure et activez LDAPS.
• Suivez les instructions de la documentation NetApp pour configurer LDAP sur TLS.
• Si aucune des options précédentes n'est réalisable, désactivez l'obligation de signature et de scellage LDAP dans le GPO ou le registre du domaine.

---